Microsoft Intune ermöglicht es den Zugriff auf ihre firmeneigenen IT-Ressourcen für Geräte zu Blockieren, die nicht durch Intune verwaltet werden. Der Fokus lag dabei bisher in erster Linie bei Microsofts Online-Diensten Office 365 und Azure, welche Hand in Hand mit Intune eine dedizierte Cloud-Infrastruktur bilden. Durch die kontinuierliche funktionale Annäherung zu Microsoft SystemCenter bieten sich immer neue Möglichkeiten, Ihre eigene Infrastruktur, kosteneffizient und mit geringem Aufwand durch eine Hybrid-Umgebung zu erweitern, ohne dabei Ihre Daten aus der Hand geben zu müssen – so unterstützt Intune nun eine Zugriffsbeschränkung für Ihren lokalen Exchange Server.
Was bringt der Conditional Access?
Beim Conditional Access werden Bedingungen definiert, die den Zugang zu bestimmten Bereichen ihrer IT-Infrastruktur gewähren bzw. blockieren. Um das Management verschiedenster Gerätetypen zu ermöglichen stehen zunächst zwei Management Channel zur Verfügung: Exchange ActiveSync und Microsoft Intune – auf einige aktuelle Mobile Device Management Funktionalitäten von Microsoft ActiveSync werden wir in einem kommenden Beitrag näher eingehen.
Eine umfassende Sicherheitslösung können Sie konzipieren und betreiben, wenn sie beide Channel nutzen; Im folgenden möchten wir jedoch auf den Einsatz des Intune-Channels für Exchange On-Premise eingehen, welches die bereits im März vorgestellten Funktionen nochmal erweitert.
Wie konfiguriere ich den Conditional Access?
Um Ihre lokale Exchange Umgebung zur Zugriffsadministration mit Microsoft Intune zu verbinden, installieren und konfigurieren Sie zunächst den aktuellen Microsoft Intune On-Premises Exchange Connector aus Ihrem Intune Administrationscenter. Im Anschluss können Sie über das Intune Administrationscenter entsprechende Regeln für verschiedene Benutzergruppen definieren.
Die Simpelste Überprüfung, neben der Notwendigkeit eines Benutzeraccounts, ist dabei die Überprüfung ob das Gerät, von dem der Zugriff verlangt wird durch Ihre Intune-Umgebung inventarisiert und administriert ist. Diese Überprüfung lässt sich jedoch um weitere Bedingungen erweitern – so können Sie beispielsweise den Zugang für sämtliche inventarisierten Geräte ermöglichen, die nicht das Android-Betriebssystem nutzen. So können Sie Mitarbeitern zum Beispiel den Einsatz von Bring Your Own Device ermöglichen, bei dem sie selbstständig die eigenen Geräte zur Intune-Verwaltung hinzufügen, schließen für bestimmte Gerätegruppen jedoch den Zugriff auf einzelne Dienste aus, um Plattformabhängige Risiken auszugrenzen. So ermöglichen Sie ihren Mitarbeitern eine gewisse Selbstständigkeit und entlasten Ihre interne IT beim Audit der verschiedenen Gerätetypen. Natürlich lassen sich verschiedenen Benutzergruppen definieren, für die entsprechende Regeln nicht gelten.
Versucht ein Nutzer nun eine Verbindung zu Ihrer Exchange-Umgebung aufzubauen, so erhält er eine Benachrichtigung(keine zugestellte Email!) in der verwendeten Email-App, sollte sein Gerät nicht den Sicherheitsanforderungen entsprechen.
Quelle: Technet
Der Nachrichtentext kann natürlich frei definiert werden. Zeitgleich erhält der nutzer eine Email in Postfach, hier können ggf. Anweisungen hinterlegt werden, um das geblockte Gerät zuzulassen – beispielsweise durch die Installation von Microsoft Intune.
In Ihrem Intune Portal steht Ihnen außerdem, neben den bekannten Übersichten zu gemanagten Geräten, auch eine Auflistung aller geblockten Geräte und deren Typinformationen (siehe Block-Benachrichtigung, oben).
Quelle: Technet
Sie haben weitere Fragen zu den in diesem Artikel behandelten Themen? Wir stehen Ihnen gerne für fachliche und allgemeine Fragen mit unseren Experten für Microsoft Exchange, Cloudtechnologien wie Intune, Office 365 und Azure oder anderen Technologien zur Verfügung. Kontaktieren Sie uns einfach über unser Kontaktformular.